防火墻的發(fā)展在設(shè)計和執(zhí)行方面都遵循了 OSI 模型的設(shè)計和層次（1 物理層，2 數(shù)據(jù)鏈路層，3 網(wǎng)絡(luò)層，4 傳輸層，5 會話層，6 表達(dá)層，7 應(yīng)用層）。在沒有防火墻之前，OSI 參考模型精心設(shè)計的層物理層和第二層數(shù)據(jù)鏈路層的網(wǎng)絡(luò)拓?fù)淠軌蚪档途W(wǎng)絡(luò)所面臨的風(fēng)險。這通常是通過物理網(wǎng)絡(luò)訪問和 VLAN 來實(shí)現(xiàn)的。無狀態(tài)防火墻是較早的防火墻，它通過 OSI 模型的 2、3、4 層的信息來過濾數(shù)據(jù)包。比如源和目的地址。通過靜態(tài)濾，實(shí)現(xiàn)簡單的訪問控制。有狀態(tài)防火墻是 1989 年由貝爾實(shí)驗(yàn)室提出了初步結(jié)構(gòu)，將有狀態(tài)引入到防火墻，它考慮到了 OSI 參考模型第 2、3、4，淮北防火墻效果怎么樣、還有 7 層的信息，以便進(jìn)行基于應(yīng)用程序的過濾。有狀態(tài)防火墻在更多方面的上下文中檢查流量，淮北防火墻效果怎么樣，同時考慮到網(wǎng)絡(luò)連接的工作狀態(tài)和特性，以提供更多方面的防火墻，淮北防火墻效果怎么樣。例如，維持這個狀態(tài)的防火墻可以允許某些流量訪問某些用戶，同時對其他用戶阻塞同量。深度應(yīng)用安全，隨著網(wǎng)絡(luò)的快速發(fā)展，越來越多的應(yīng)用都建立在HTTP/HTTPS等應(yīng)用層協(xié)議之上?；幢狈阑饓πЧ趺礃?/p>

如果在NAT模式的基礎(chǔ)上需要實(shí)現(xiàn)外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)服務(wù)的需求時，還可以使用地址/端口映射（MAP）技術(shù)，在防火墻上進(jìn)行地址/端口映射配置，當(dāng)外部網(wǎng)絡(luò)用戶需要訪問內(nèi)部服務(wù)時，防火墻將請求映射到內(nèi)部服務(wù)器上；當(dāng)內(nèi)部服務(wù)器返回相應(yīng)數(shù)據(jù)時，防火墻再將數(shù)據(jù)轉(zhuǎn)發(fā)給外部網(wǎng)絡(luò)。使用地址/端口映射技術(shù)實(shí)現(xiàn)了外部用戶能夠訪問內(nèi)部服務(wù)，但是外部用戶無法看到內(nèi)部服務(wù)器的真實(shí)地址，只能看到防火墻的地址，增強(qiáng)了內(nèi)部服務(wù)器的安全性。防火墻都部署在網(wǎng)絡(luò)的出入口，是網(wǎng)絡(luò)通信的大門，這就要求防火墻的部署必須具備高可靠性。一般IT設(shè)備的使用壽命被設(shè)計為3至5年，當(dāng)單點(diǎn)設(shè)備發(fā)生故障時，要通過冗余技術(shù)實(shí)現(xiàn)可靠性，可以通過如虛擬路由冗余協(xié)議（VRRP）等技術(shù)實(shí)現(xiàn)主備冗余。目前，主流的網(wǎng)絡(luò)設(shè)備都支持高可靠性設(shè)計。無錫防火墻系統(tǒng)方案防火墻能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流。

防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描，這樣能夠過濾掉一些攻擊，以免其在目標(biāo)計算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口。而且它還能禁止特定端口的流出通信，封閉特洛伊木馬。之后，它可以禁止來自特殊站點(diǎn)的訪問，從而防止來自不明入侵者的所有通信。一個防火墻（作為阻塞點(diǎn)、控制點(diǎn)）能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進(jìn)出受保護(hù)網(wǎng)絡(luò)，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡(luò)。防火墻同時可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊，如IP選項(xiàng)中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應(yīng)該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

防火墻采用卡巴斯基病 毒特征庫，并集成Google Safe Browsing庫，包含萬余種病 毒特征，支持病 毒特征庫的每日自動升級，也可以手動實(shí)時升級。DAS-Gateway-NGFW病 毒過濾功能可掃描協(xié)議類型包括POP3、HTTP、SMTP、IMAP4以及FTP；可掃描文件類型包括存檔文件（包含壓縮存檔文件，支持壓縮類型有GZIP、BZIP2、TAR、ZIP和RAR）、PE（支持的加殼類型有ASPack 2.12、UPack 0.399、UPX的所有版本以及FSG的1.3、1.31、1.33和2.0版本）、HTML、Mail、RIFF、CryptFF和JPEG。網(wǎng)絡(luò)行為控制，DAS-Gateway-NGFW網(wǎng)絡(luò)行為控制功能可以根據(jù)需要針對不同用戶、不同網(wǎng)絡(luò)行為、不同時間進(jìn)行靈活的控制規(guī)則設(shè)置，對用戶的網(wǎng)絡(luò)行為進(jìn)行多方面的行為控制、行為審計（記錄行為日志）和內(nèi)容審計（記錄內(nèi)容）。當(dāng)發(fā)生可疑事件時，防火墻更能根據(jù)機(jī)制進(jìn)行報警和通知，提供網(wǎng)絡(luò)是否受到威脅的信息。

目標(biāo)主機(jī)的防火墻規(guī)則可能限制了特定IP地址的主機(jī)進(jìn)行連接。那么，在進(jìn)行探測時，其他IP地址的TCP[SYN]得到對應(yīng)的[SYN，ACK]響應(yīng)包，被限制的IP地址主機(jī)將不會收到響應(yīng)包。捕獲到的探測數(shù)據(jù)包，如圖4所示。其中，偽造了大量的IP地址向目標(biāo)主機(jī)發(fā)送的TCP[SYN]包。例如，第45個數(shù)據(jù)包為偽造主機(jī)19.182.220.102向目標(biāo)主機(jī)192.168.59.133發(fā)送的探測包。第53個數(shù)據(jù)包為偽造主機(jī)223.145.224.217向目標(biāo)主192.168.59.133發(fā)送的探測包。通過顯示過濾器，過濾主機(jī)19.182.220.102的數(shù)據(jù)包。圖中第45個數(shù)據(jù)包為發(fā)送的探測包，第283個數(shù)據(jù)包為對應(yīng)的響應(yīng)包[SYN，ACK]。這說明目標(biāo)主機(jī)防火墻規(guī)則中沒有限制主機(jī)19.182.220.102的連接。防火墻為了實(shí)現(xiàn)在保護(hù)內(nèi)部網(wǎng)絡(luò)的安全同時，又可以保證需要放置在外網(wǎng)上的服務(wù)器的安全的一種方法?；幢狈阑饓πЧ趺礃?/p>

防火墻的集中安全管理更經(jīng)濟(jì)?；幢狈阑饓πЧ趺礃?/p>

靈活的部署模式，下一代防火墻支持三種部署模式，分別是透明模式、路由模式、混合模式。系統(tǒng)會根據(jù)進(jìn)入設(shè)備的數(shù)據(jù)包，自動選擇正確的應(yīng)用模式進(jìn)行處理。路由功能，DAS-Gateway-NGFW支持支持靜態(tài)路由、ISP路由、源路由、源接口路由、策略路由、就近探測路由、動態(tài)路由和等價多徑路由和靜態(tài)組播路由。網(wǎng)絡(luò)地址轉(zhuǎn)化（NAT），DAS-Gateway-NGFW通過創(chuàng)建并執(zhí)行NAT規(guī)則來實(shí)現(xiàn)NAT功能。NAT規(guī)則有兩類，分別為源NAT規(guī)則（SNAT Rule）和目的NAT規(guī)則（DNAT Rule）。SNAT轉(zhuǎn)換源IP地址，從而隱藏內(nèi)部IP地址或者分享有限的IP地址；DNAT轉(zhuǎn)換目的IP地址，通常是將受安全網(wǎng)關(guān)保護(hù)的內(nèi)部服務(wù)器（如WWW服務(wù)器或者SMTP服務(wù)器）的IP地址轉(zhuǎn)換成公網(wǎng)IP地址?；幢狈阑饓πЧ趺礃?/p>

文章來源地址: http://www.cdcfah.com/cp/3046381.html